Wat vereis beheer A.3.23?
Veilige verifikasietegnologieë en -prosedures wat verband hou met PII-verwerking sal geïmplementeer word gebaseer op beperkings op toegang tot inligting.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en bepaal dat toegang tot stelsels wat PII verwerk, beskerm moet word deur robuuste verifikasiemeganismes. Die frase "gebaseer op beperkings op toegang tot inligting" is belangrik: die sterkte en tipe verifikasie moet proporsioneel wees tot die sensitiwiteit van die PII en die vlak van toegang wat toegestaan word. 'n Stelsel wat spesiale kategorie-data hanteer, regverdig sterker verifikasie as een wat basiese kontakbesonderhede verwerk.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.23) verskaf die volgende riglyne:
- Veilige aanmeldprosedures vir kliëntrekeninge — Waar die kliënt dit vereis, moet die organisasie die vermoë bied vir veilige aanmeldprosedures vir enige gebruikersrekeninge onder die kliënt se beheer.
Die verwerker-gefokusde riglyne beklemtoon 'n belangrike kontraktuele dimensie: verwerkers moet in staat wees om veilige verifikasievermoëns te verskaf wat aan hul kliënte (beheerders) se vereistes voldoen. Dit kan multifaktor-verifikasie, enkel-aanmelding-integrasie, IP-toelaatlys of ander verifikasiekontroles insluit wat in die dataverwerkingsooreenkoms gespesifiseer word.
Hoe pas dit by die GDPR?
Beheer A.3.23 karteer na die volgende BBP Artikel:
- Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteit van persoonlike data vereis, insluitend beskerming teen ongemagtigde toegang
Swak of afwesige verifikasie is 'n direkte pad na ongemagtigde toegang tot persoonlike data, wat hierdie beheer fundamenteel maak vir die nakoming van Artikel 5(1)(f).
Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.6.4.2 (veilige aanmeldprosedures). Die 2025-uitgawe verbreed die omvang van aanmeldprosedures spesifiek na veilige verifikasietegnologieë en -prosedures meer algemeen soos A.3.23. Dit weerspieël die evolusie van verifikasie verder as tradisionele gebruikersnaam- en wagwoordaanmelding om biometrie, hardeware-tokens, wagwoordlose verifikasie en aanpasbare risikogebaseerde verifikasie in te sluit. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.23 beoordeel word, sal ouditeure tipies kyk na:
- Verifikasiebeleid — ’n Gedokumenteerde beleid wat verifikasievereistes vir verskillende stelseltipes en PII-sensitiwiteitsvlakke spesifiseer, insluitend wagwoordkompleksiteitsreëls, MFA-vereistes en sessiebestuurkontroles
- MFA-ontplooiing — Bewyse dat multifaktor-verifikasie geïmplementeer word vir stelsels wat PII verwerk, veral vir afstandtoegang, bevoorregte rekeninge en kliëntgerigte portale
- Toegangsbeheermatriks — ’n Kartering tussen stelselrolle, PII-toegangsvlakke en vereiste verifikasiesterkte
- Aanmeldprosedure-konfigurasie — Tegniese bewyse van veilige aanmeldkonfigurasie, insluitend rekeninguitsluitingsdrempels, mislukte pogingsregistrasie en sessie-tydbeperkingsinstellings
- Kliëntgerigte verifikasievermoëns — Vir verwerkers, bewys dat veilige verifikasie-opsies vir kliënte beskikbaar is soos beskryf in die dataverwerkingsooreenkoms
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.8 Identiteitsbestuur | Verifikasie verifieer die identiteite wat bestuur word onder A.3.8 Identiteitsbestuur |
| A.3.9 Toegangsregte | Verifikasiesterkte moet proporsioneel wees tot die toegangsregte wat beskerm word |
| A.3.22 Gebruikerseindpunttoestelle | Eindpunttoestelle moet veilige verifikasie afdwing voordat hulle PII-toegang verleen |
| A.3.25 Logging | Verifikasiegebeurtenisse (suksesvol en misluk) moet aangeteken en gemonitor word |
| A.3.26 Gebruik van kriptografie | Kriptografiese meganismes onderlê baie verifikasietegnologieë |
Op wie is hierdie beheer van toepassing?
A.3.23 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet veilige verifikasie implementeer vir hul eie stelsels wat PII verwerk. Verwerkers het die bykomende verpligting om veilige verifikasievermoëns vir kliënt-beheerde rekeninge te verskaf waar dit deur die kliënt vereis word, wat verifikasie 'n kontraktuele sowel as 'n tegniese vereiste maak.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir verifikasiebestuur?
ISMS.aanlyn bied praktiese gereedskap vir die implementering en bestuur van veilige verifikasie:
- Toegangsbeheerraamwerk — Definieer en dokumenteer verifikasievereistes per stelsel, rol en PII-sensitiwiteitsvlak in 'n sentrale, ouditeerbare ligging
- Beleidsbestuur — Publiseer verifikasiebeleide met weergawebeheer en personeelerkenningsopsporing
- Risikobeoordelings — Evalueer verifikasieverwante risiko's met voorafgeboude bedreigingscenario's vir geloofsbriewediefstal, brute force-aanvalle en sessiekaping
- Nakoming dop — Monitor watter stelsels aan jou verifikasiebasislyn voldoen en watter uitstaande aksies het
- Bewysbestuur — Stoor en organiseer bewyse van verifikasiekonfigurasie, MFA-ontplooiingsrekords en ouditverslae vir maklike herwinning tydens assesserings
Vrae & Antwoorde
Is multifaktor-verifikasie verpligtend?
Die beheermaatreël vereis nie eksplisiet MFA nie, maar dit vereis dat verifikasie geïmplementeer word "gebaseer op beperkings op toegang tot inligting" - wat beteken dat die verifikasiesterkte proporsioneel tot die risiko moet wees. Vir stelsels wat sensitiewe PII, afstandtoegang en bevoorregte rekeninge verwerk, word MFA wyd beskou as die minimum aanvaarbare standaard. Ouditeure sal 'n risikogebaseerde regverdiging verwag vir enige stelsels wat PII verwerk wat nie MFA gebruik nie.
Watter verifikasiemetodes word as veilig beskou?
Veilige verifikasiemetodes sluit in multifaktor-verifikasie (wat iets kombineer wat jy weet, iets wat jy het en iets wat jy is), hardeware-sekuriteitsleutels (bv. FIDO2/WebAuthn), biometriese verifikasie, sertifikaatgebaseerde verifikasie en aanpasbare risikogebaseerde verifikasie. Wagwoord-alleen-verifikasie word toenemend as onvoldoende beskou vir stelsels wat PII verwerk, veral vir afstandtoegang. Wagwoordlose benaderings wat hardeware-tokens of biometrie gebruik, kry al hoe meer aanvaarding as 'n veiliger en gebruikersvriendeliker alternatief.
Wat is die verwerker-spesifieke verpligtinge?
Verwerkers moet veilige aanmeldvermoëns vir kliëntbeheerde rekeninge verskaf waar dit deur die kliënt vereis word. Dit beteken dat verwerkers MFA, SSO-integrasie, IP-toelaatlyste of ander verifikasiekenmerke moet kan aanbied wat beheerders benodig om aan hul eie voldoeningsverpligtinge te voldoen. Hierdie vermoëns moet in die dataverwerkingsooreenkoms gedokumenteer word en sonder bykomende hindernisse beskikbaar gestel word.
Teken hierdie kontrole in jou Verklaring van toepaslikheid met jou implementeringsbenadering.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
